你驻足于春色中,于那独一无二的春色之中.
上次记录了学习hpfeeds协议的一些收获,这次将介绍开源项目中的一款模拟功能丰富的蜜罐——dionaea。
百度、google、github一下dionaea,就能看到很多关于这个蜜罐的简介、使用情况以及对蜜罐捕获数据的分析。
其实dionaea项目现在可以分成两种,一种是原生的dioanea蜜罐,另一种是经过MHN改造后的dionaea,两者的服务模拟、捕获数据构成等略有不同。不过,这两种dionaea蜜罐我都尝试搭建并成功运行。所以,这次我打算从代码构成的角度讲讲dionaea蜜罐。
按照你能成功的方式安装好dionaea蜜罐后,dionaea文件夹下会有如下的几个文件。
dioanea
|-bin
|-etc
|-include
|-lib
|-share
|-var
这里,我会详细介绍配置文件和捕获数据文件
etc
|-dionaea
|-dionaea.conf
|-dionaea.conf.dist
|-dionaea.conf.org
作为蜜罐的配置文件,这里对于蜜罐运行时加载的协议、文件存储的位置、监听的端口等做了详细的描述。
第一个参数是logging,负责存储蜜罐运行过程中的默认日志和出错日志的路径和日志等级设定
第二个参数是processors,负责加载几个对于捕获数据进行过滤的程序,包括二进制流、会话等
第三个参数是download,负责恶意程序的下载路径
第四个参数是bistreams,负责二进制流下载路径
第五个参数submit,负责第三方数据提交
第六个参数是listen,负责蜜罐监听ip的设置,有三种模式。getifaddrs模式监听所有ip,包括自己的127.0.0.1。manual模式允许用户设置不进行监听的ip。nl模式加载一个列表监听。
第七个参数是modules,加载用到的模块,lib中服务模拟的python程序就会在这里加载,捕获数据入库也在这里进行设置
从配置文件中,可以看出dionaea的许多功能都处于开发阶段,还有一部分功能被注释掉了,喜欢探索的高级玩家可以解开注释的封印,去试试dionaea的洪荒之力~~ 中二ing~~